그누보드 쿼리작성구문이 문제가 좀 심각한 것 같은데... 정보
그누보드 쿼리작성구문이 문제가 좀 심각한 것 같은데...
본문
처음엔 그저 쿼리문이 interger값에 string을 입력하길래 이거 수정하려고 쿼리문 손대기 시작했는데...
수정하다보니까 이게 아닌데... 하는 생각이 너무 심하게 들어서 참지 못하고 글 하나 남겨봅니다.
위에다가 그누보드에서 SQL 작성하는 부분을 첨부했는데요(오늘 기준 최신버전)....
이거 이래도 되나요?
Post로 넘어온 값을 바로 쿼리문에 삽입하는거 굉장히 위험한 것 같은데...
아무래도 SQL 쿼리작성구문은 죄다 다시 써야 할 것 같은데... ;;;;;;;
제가 뭔가 놓친 게 있나요?
댓글 전체
네, 제가 뭔가 놓친게 맞네요. common.php를 인클루딩하면서 POST에 들어있던 변수들에 addslash가 적용되는군요.
그런데 어째서 아무도 답변을 안해주셨을까요... 다들 이정도 점검은 하셨을텐데...
그런데 어째서 아무도 답변을 안해주셨을까요... 다들 이정도 점검은 하셨을텐데...
1~2년 사이에 다듬어진 그누보드가 아닙니다. 하핫
php프로그래밍 자체의 문제가 아니라면
제국님이 코드를 보다가 이거 문제인데? 싶은 것은 모두 해결되어있다고 봐도 무방할 겁니다
addslashes 같은 부분은 2005년 소스를 봐도 이미 그렇게 처리하고 있습니다
그동안 꾸준히 구멍이 보이면 다 메꾸어 왔으니 일반적인 구멍은 없을거예요
안심하고 사용해도 됩니다
정수형필드 문자 참고하세요
http://www.sir.co.kr/bbs/board.php?bo_table=pg_mysql&wr_id=519&sfl=&stx=&sst=wr_good&sod=desc&sop=and&page=4
php프로그래밍 자체의 문제가 아니라면
제국님이 코드를 보다가 이거 문제인데? 싶은 것은 모두 해결되어있다고 봐도 무방할 겁니다
addslashes 같은 부분은 2005년 소스를 봐도 이미 그렇게 처리하고 있습니다
그동안 꾸준히 구멍이 보이면 다 메꾸어 왔으니 일반적인 구멍은 없을거예요
안심하고 사용해도 됩니다
정수형필드 문자 참고하세요
http://www.sir.co.kr/bbs/board.php?bo_table=pg_mysql&wr_id=519&sfl=&stx=&sst=wr_good&sod=desc&sop=and&page=4
참조 감사합니다. 그래도 뭐... db에서 interger를 요구하는 곳에는 interger를 넘겨주는게 맞는것 같아서 interger값의 따옴표는 모두 제거하고 값이 없으면 NULL값 넘겨주도록 튜닝했습니다.
나중에 업데이트하려면 고생 좀 하겠네요 하하하 ;;;;
나중에 업데이트하려면 고생 좀 하겠네요 하하하 ;;;;